der-phil
Goto Top

Notwendige Schritte - Nur Domänen-Admins dürfen AD-Join ausführen

Hallo!

Ich möchte Usern die Möglichkeit nehmen, Computer zum Active Directory zu joinen. Leider habe ich abweichende Anleitungen gefunden und blicke nicht mehr durch.

Zielsetzung: Domänen-Admins dürfen eine beliebige Anzahl hinzufügen, User gar keine.

Es gibt die GPO:
Lokale Richtlinien - Hinzufügen von Arbeitsstationen zur Domäne
-> Standardwert Authentifizierte Benutzer

Es gibt via ADSIEdit:
ms-DS-MachineAccountQuota
-> Anzahl Computer, die ein User hinzufügen darf

Es gibt die Zuweisung der Objektverwaltung auf die OU "Computer"


Wie geht ihr hier vor?
Reicht es, aus der GPO "Authentifizierte Benutzer" durch Domänen-Admins zu ersetzen, oder muss ich an die anderen zwei Themen?
Setzt ihr einfach nur ms-DS-MachineAccountQuota=0?

Danke und Grüße
Phil

Content-Key: 41029321333

Url: https://administrator.de/contentid/41029321333

Printed on: June 22, 2024 at 22:06 o'clock

Mitglied: 9697748851
9697748851 May 08, 2024 at 06:17:19 (UTC)
Goto Top
Moin,

Ich möchte Usern die Möglichkeit nehmen, Computer zum Active Directory zu joinen
? User ohne Adminpasswort oder Adminrechte dürfen ohnehin keine Rechner in die Domain packen!?

Evtl. den Usern die Adminrechte wegnehmen?!

Gruß
Member: Penny.Cilin
Penny.Cilin May 08, 2024 at 06:19:09 (UTC)
Goto Top
Seit wann können Benutzer einen AD-Join ausführen? Dazu wird immer ein Administrator-Account der Domäne benötigt.

Gruss Penny.
Member: Vision2015
Vision2015 May 08, 2024 at 06:26:17 (UTC)
Goto Top
Moin...

Zielsetzung: Domänen-Admins dürfen eine beliebige Anzahl hinzufügen, User gar keine.

äh... also wenn natürlich das Admin Passwort bekannt ist, wie ein Bunter Hund, dann würde ich das Passwort als erstes ändern!
und wenn deine User alle in der Gruppe der Dom Admins sind, ist das auch kein wunder, das sowas möglich ist!

Frank
Member: Der-Phil
Der-Phil May 08, 2024 at 06:29:13 (UTC)
Goto Top
Schön, wie mir hier unterstellt wird, meine User hätten Admin-Zugänge. Wo schreibe ich das bitte??


Bevor ihr mir hier Dinge unterstellt, bitte selbst informieren...

https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-dir ...

Summary
By default, Windows 2000 allows authenticated users to join 10 machine accounts to the domain.
---
Member: Vision2015
Vision2015 May 08, 2024 at 06:34:09 (UTC)
Goto Top
Moin....
Zitat von @Der-Phil:

Schön, wie mir hier unterstellt wird, meine User hätten Admin-Zugänge. Wo schreibe ich das bitte??
nirgendwo... ist einfach eine Schlussfolgerung!


Bevor ihr mir hier Dinge unterstellt, bitte selbst informieren...

https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-dir ...

Summary
By default, Windows 2000 allows authenticated users to join 10 machine accounts to the domain.
---
sag mal, von welchem Server OS reden wir eigentlich?

Frank
Member: bitnarrator
bitnarrator May 08, 2024 at 06:38:24 (UTC)
Goto Top
Natürlich dürfen -im Standard- auch normale User Geräte in das AD joinen.

https://www.windowspro.de/wolfgang-sommergut/berechtigungen-fuer-domain- ...
Member: mininik
mininik May 08, 2024 at 07:02:23 (UTC)
Goto Top
Ich würde auch Domainadmins nicht nutzen um Rechner der Domäne zu joinen sondern einen dedizierten User dafür anlegen.
Member: NordicMike
NordicMike May 08, 2024 at 07:07:30 (UTC)
Goto Top
+1, ja sie dürfen es. Das habe ich schon mehrmals mit meinem "normalen" nicht-Domainadmin Benutzer praktiziert und diese "max 10 Clients hinzufügen" Regelung selbst "by doing" kennen gelernt.

Zumindest ist das by default bei jedem neuen Active Directory der Fall. Es mag sein, dass Admins das gleich bei der Domainerstellung bereits raus nehmen und dadurch andere Admins diese Regel erst gar nicht kennen lernen und als default davon ausgehen, dass es nicht funktioniert.
Member: NordicMike
NordicMike May 08, 2024 at 07:11:11 (UTC)
Goto Top
Ich würde auch Domainadmins nicht nutzen um Rechner der Domäne zu joinen sondern einen dedizierten User dafür anlegen.

Mit welcher Delegierung hast du das erreicht? Gibts dafür eine Anleitung im Netz?
Member: em-pie
em-pie May 08, 2024 at 07:32:16 (UTC)
Goto Top
Zitat von @NordicMike:
Ich würde auch Domainadmins nicht nutzen um Rechner der Domäne zu joinen sondern einen dedizierten User dafür anlegen.
Mit welcher Delegierung hast du das erreicht? Gibts dafür eine Anleitung im Netz?

Selbst noch nicht umgesetzt, aber hier sollte dir, unterhalb von "Resolution" geholfen werden können:
https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-dir ...
Erforderliche Rechte laut dem Link:
9. In the Permissions list, click to select the following check boxes:
 * Reset Password
 * Read and write Account Restrictions
 * Validated write to DNS host name
 * Validated write to service principal name
Member: NordicMike
NordicMike May 08, 2024 at 07:48:23 (UTC)
Goto Top
Danke dir
Member: Franz-Josef-II
Franz-Josef-II May 08, 2024 updated at 07:57:58 (UTC)
Goto Top
Interessante Aussagen

JA, ein "normaler" User darf max 10 ...... probiert's das einfach aus. Ob AD oder Samba .... egal.

Ich würde auch ein Konto mit den gerade notwendigen Rechten anlegen .....
Member: pebcak7123
pebcak7123 May 08, 2024 at 08:45:24 (UTC)
Goto Top
Nachdem das umgesetzt ist auch dran denken alle Computer die von Usern hinzugefügt wurden in Besitz zu nehmen.
User die einen Computer zum AD hinzugefügt haben sind im AD Besitzer von diesem und können darüber sehr leicht lokale admin rechte auf dem PC bekommen.
Member: erikro
erikro May 08, 2024 at 09:57:56 (UTC)
Goto Top
Moin,

irgendwie haben ja beide Seiten recht:

Man braucht im Standard keine Adminrechte in der Domain, um insgesamt 10 Rechner in die Domain zu bringen.
Man benötigt aber lokale Adminrechte, um den Vorgang überhaupt starten zu können.

My best practice:

1. Das hier machen: https://www.der-windows-papst.de/2019/01/01/berechtigung-zum-hinzufuegen ...
Das langt vollkommen, um den Usern das Recht zu nehmen.

2. Vor dem Join wird das Konto im AD angelegt und der IT-Gruppe (eingeschränkte Konten) wird das
Recht gegeben, den Rechner in die Domain zu bringen. Das hat den Vorteil, dass Tippfehler im Rechnernamen sofort auffallen, da man sich selten an beiden Stellen vertippt.

Ergänzend dazu: Auch wenn die User keine lokalen Adminrechte haben, sollte die Maßnahme durchgeführt werden, da sonst die Gefahr besteht, dass User ihre Privatgeräte, auf denen sie natürlich auch Adminrechte haben, in die Domain einschleusen.

hth

Erik
Member: kreuzberger
kreuzberger May 08, 2024 at 10:48:33 (UTC)
Goto Top
@all

also .. .also verantwortlicher Admin für die Sicherheit des Netzes würden sich mir die Fußnägel kräuseln wenn ich wüsste, dass da Leute beliebige Hardware ins AD brächten. Eine schauerliche Vorstellung.
Wir wissen ja nicht den Grund, warum der TO das realisieren mag. Aber unkontrolliert gar irgendwelche Spionier-Rechner under Virenschleudern ins Netz bringen ... Gratulation.

Kreuzberger
Member: Drohnald
Drohnald May 08, 2024 at 11:25:58 (UTC)
Goto Top
Zitat von @kreuzberger:

@all

also .. .also verantwortlicher Admin für die Sicherheit des Netzes würden sich mir die Fußnägel kräuseln wenn ich wüsste, dass da Leute beliebige Hardware ins AD brächten. Eine schauerliche Vorstellung.
Wir wissen ja nicht den Grund, warum der TO das realisieren mag. Aber unkontrolliert gar irgendwelche Spionier-Rechner under Virenschleudern ins Netz bringen ... Gratulation.

Kreuzberger

Vll. liest du den Post des TO nochmal durch. Es geht ihm doch gerade darum, dass das verhindert wird.
Member: Der-Phil
Der-Phil May 08, 2024 at 12:14:25 (UTC)
Goto Top
Der Thread macht mich wirklich fertig. Erst kommen Kommentare, die einfach falsch sind (kann passieren). Dann kommen Vorwürfe ohne Ende, weil so "unwichtige Worte", wie "nicht" überlesen werden.

Gerade bin ich wirklich frustriert.

An die Personen mit konstruktiven Beiträgen: Vielen Dank!
Member: kreuzberger
kreuzberger May 08, 2024 at 12:18:27 (UTC)
Goto Top
Tschullldigungh

­čÖä
Member: Dani
Dani May 09, 2024 at 07:12:38 (UTC)
Goto Top
Moin @erikro
Man benötigt aber lokale Adminrechte, um den Vorgang überhaupt starten zu können.
Woher stammt die Info? Hab ich in keinen der verlinkten Artikel hier im Beitrag herausgelesen.

@Der-Phil
Ich möchte Usern die Möglichkeit nehmen, Computer zum Active Directory zu joinen. Leider habe ich abweichende Anleitungen gefunden und blicke nicht mehr durch.
Unabhängig von den Meinungen und Vorschlägen, würde ich sowas immer in einem Lab ausprobieren, dokumentieren. Wenn alles tut wie es soll auf das produktive System umsetzen. Damit verkommt das das Ganz nicht zu einem TestProd System.


Gruß,
Dani
Member: Th0mKa
Th0mKa May 10, 2024 at 05:15:59 (UTC)
Goto Top
Zitat von @Der-Phil:
Wie geht ihr hier vor?
Reicht es, aus der GPO "Authentifizierte Benutzer" durch Domänen-Admins zu ersetzen, oder muss ich an die anderen zwei Themen?
Setzt ihr einfach nur ms-DS-MachineAccountQuota=0?

Moin,

ich empfehle den Kunden die Quota auf 0 zu setzen, damit ist die Sache dann erledigt.

/Thomas
Member: erikro
erikro May 10, 2024 at 07:32:26 (UTC)
Goto Top
Moin,

Zitat von @Dani:

Moin @erikro
Man benötigt aber lokale Adminrechte, um den Vorgang überhaupt starten zu können.
Woher stammt die Info? Hab ich in keinen der verlinkten Artikel hier im Beitrag herausgelesen.

Das ist schon seit NT so, dass das Ändern des Namens und der Domainzugehörigkeit des Computers lokale Adminrechte voraussetzt. Sonst kommst Du gar nicht da hin. Probiere es halt mal aus unter einem eingeschränkten User.

Liebe Grüße

Erik
Member: Dani
Dani May 17, 2024 at 12:42:39 (UTC)
Goto Top
Moin @eriko,
ich dachte bei WindowsXP/Windows 7 war es anders... aber ich habe beides nicht mehr um dies zu testen.
Bei Windows 10 und 11 ist es definitiv so. Da bin ich bei dir.


Gruß,
Dani